受影响版本
Apache Tomcat 6
Apache Tomcat 7x <7.0.100
Apache Tomcat 8x <8.5.51
Apache Tomcat 9x <9.0.31

未受影响版本
Tomcat 7.0.0100
Tomcat 8.5.51
Tomcat 9.0.31

一、环境搭建

docker search duonghuuphuc/tomcat-8.5.32
docker pull duonghuuphuc/tomcat-8.5.32
docker run -d -p 8080:8080 -p 8009:8009 duonghuuphuc/tomcat-8.5.32
从下图中可以看到8009和8080端口开放

二、漏洞演示

修复方案
临时禁用AJP协议端口,在conf/server.xm l配置文件中注释掉<Connector port=“8009” protocol="AJP/1.3"redirectPort=“8443” />

配置ajp配置中的secretRequired跟secret属性来限制认证

官方下载最新版

【复现】CNVD-2020-10487-Tomcat-Ajp-lfi相关推荐

  1. tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现

    一.漏洞背景2020年02月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告.Tom ...

  2. CVE-2020-1938 Tomcat AJP漏洞复现

    0x00 简介 Tomcat在server.xml中配置有HTTP连接器和AJP连接器,AJP连接器可以通过AJP协议与另一个web容器进行交互.AJP协议是定向包协议,其使用端口为8009端口,为提 ...

  3. Tomcat Ajp(CVE-2020-1938) 漏洞复现与修复

    前言 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938).该漏洞是由于Tomcat AJP协议存 ...

  4. Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现

    Tomcat AJP 文件包含漏洞(CVE-2020-1938) CVE-2020-1938 又名GhostCat ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含 ...

  5. tomcat ajp协议安全限制绕过漏洞_Apache tomcat 文件包含漏洞复现(CVE20201938)

    漏洞背景 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer ...

  6. CVE-2020-1938 Aapache Tomcat AJP文件包含漏洞复现

    目录 一.环境搭建 1.下载vulhub 2.启动环境 二.漏洞复现 1.使用nmap扫描目标 2.运行POC验证漏洞 3.POC代码 三.修复方法 一.环境搭建 1.下载vulhub kali系统输 ...

  7. CVE-2020-1938 Tomcat AJP 漏洞记录

    漏洞描述 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020- ...

  8. tomcat ajp协议安全限制绕过漏洞_国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告...

    2月22日消息 国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,具体如下: 安全公告编号:CNTA-2020-0004 2020 年 1 ...

  9. springboot需要tomcat服务器吗_嵌入式 Tomcat AJP 协议对 SpringBoot 应用的影响

    前言 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞.Tomcat AJP 协议由于存在实现缺陷导 ...

  10. Tomcat AJP安全漏洞

    关于Apache Tomcat存在文件包含漏洞   2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2 ...

最新文章

  1. CentOS 5.6配置PPTP+Radius+Daloradius认证服务器傻瓜教程
  2. centos7 gitlab安装
  3. Linux的进程间通信-消息队列
  4. mysql数据库连接javaweb_javaweb中mysql数据库连接方法
  5. python中词云图是用来描述_python中实现词云图
  6. Spring MVC X-Frame-Options
  7. python flask 通过ajax向后台传递数组参数
  8. python实现猜数字小游戏
  9. [C++优先队列模板应用一] 哈夫曼树
  10. 求助!C++ 实践之引入外部头文件失败
  11. zabbix监控 nginx 进程
  12. WeUI for 小程序使用教程文档总结
  13. 基于HMM和BP神经网络的睡眠分期算法
  14. STM32F207使用定时器1产生PWM波形
  15. 运营商进行网络劫持的前生今世+劫持的危害
  16. 陈计老师《代数不等式》p15例6的别证
  17. Java开发WIN10动态壁纸
  18. 【Excel】一、Excel入门指导
  19. 用Cython加密Python代码这么简单
  20. idea 占用内存优化调整

热门文章

  1. java中创建库存_java案例实例 商品库存管理系统
  2. java wed的工作流程
  3. matlab三维绘图
  4. iphone个系列尺寸_iPhone9只是套模iPhone8,这些才是iPhone经典款,你用过哪些?
  5. 51单片机汇编学习例程(6)——74HC573数码管篇
  6. discuzq 去除页面版权
  7. 使用excel校验身份证号码是否正确
  8. MIPS汇编语言实现Fibonacci数列(斐波那契数列)
  9. 分析评估和定位声音质量
  10. 香蕉树上第六根芭蕉——PCA算法python实现和思考-站在巨人肩膀上